怎么看软件有没有后门?

如何查看软件是否有后门？ 100分

。。用C32.然后把软件加载进去后，查找HTTP或WWW，之类的，如果是陌生的网址，可能就是后门，如果都是你熟悉的网址，那没事，如果软件真的发现后门了，一定要及时修改，不然不仅仅别 人修改你的软件那么简单了，发现后门后，把后门网址，修改成000之类的就行了

如何检测软件有没有后门和捆绑

一.工具说明：

冰刃：针对一些内核级木马所必须采用的工具！

木马辅助查找器：主要利用监视C盘与程序字节大小功能！

进程端口连接器：主要查看所检测的工具开放什么敏感端口！

木马捆绑克星：没多大用处，但是这个是误报算低的了，其他的更不行！

Ollydbg：32 位分析调试器，主要简单分析下软件是怎么运行，释放的！

System Safety Monitor：类似防火墙，但在加强了应用层监视

这些工具网上都有下载，估计大家都有吧，没有的话网上搜.....

二本文我介绍两种方法检测：

1.初步简单检测法

一般我们在一些有名的软件站下载软件安全隐患是比较少的，如：天空软件站！但是不排除他们工作人员检测的很干净，人嘛，难免有疏忽！所以，我们也要做一些简单检测！

在检测之前建议大家在虚拟机中进行，预防一些超级木马（如格盘程序），这里我拿美萍密码破解做演示！

先用木马辅助查找器自带的捆绑数据检测，检测一下，是安全的!从这个检测结果看出，它主要检测的是字节，字节相等非捆绑，这也是其他木马捆绑克星所检测的基本原理！但是本文的木马克星可不不是这样，我门来看下：这个木马捆绑克星可以检测出此工具经过是加壳处理，同时也具有修改注册表的功能！但是不具有网络功能，我们下一步来运行这个工具再打开进程端口查看器看一下是不是有连接就知道了，：没有连接网络！我们再用冰刃看下此软件有没有使用到rootkit技术把进程都端口都隐藏了！如果出现隐藏进程，冰刃会有红色标记起来的！在端口里刷新一下再用命令netstat -an对比一下端口是不是有隐藏的连接了！

通过以上几个步骤，基本可以断定这个小工具是安全的了！如果还不放心，我们再用OD简单分析下它运作过程！把程序载入OD，下文件处理函数两个：

然后F9运行一下！我们来看堆栈：

我们再运行一下，程序就跑起来了，说明这个程序并有没加载其他的可执行程序，只是释放了一个无效的windows映象文件（mstfime.ime)我们也可以用木马辅助查找器来监视C盘的动作，但是万一木马释放在别的盘加载启动项就不安全了！所以这里我不推荐木马辅助查找器监视C盘，而用OD！经过这样的检测！我们完全可以断定这个工具是安全的，放心使用了！

二.全面的分析检测

通过以上的检测，我们真的是可以放心使用了，起码我在利用以上方法没有检测不到的捆绑.....如果大家对以上还不怎么放心，下面这个工具绝对让你放心！

在运行程序前，SSM必须是开着的（废话），我们用灰鸽子测试看看：

这里我们要注意一下，允许那里，我们选择此 *** 作仅当次就可，因为第一次运行，我们无法判断它是不是正常软件，所以我们只能允许一次，如果选择始终的话，就别检测了......后面我们再说SSM跟其他防火墙不同的地方！接着走

看，它开始调用C盘windows下的程序（它自己释放的），我们接着走

允许上两次动作以后，程序已经运行，它开始想插入IE进程里了（如果这时我们没有开网页，却有这样的请求....大家该杀毒了~呵呵）接着允许下去

除了有些P处理安装程序需要调用CMD以外，一个不知名软件也调？接着允许

这里才是关键，吊用命令行插入启动项.....一个反d木马运行的整个过程就是这样，如果我们在OD里调试这个软件就会看到它所调用的P处理文件类型，可以从它所释放目录里复制出来分析一下！这个软件跟防火墙不同的地方是，可以检测到任意执行文件都会d出一个对话框提示 *** 作，而防火墙只会提示网络连接！，如果是一些破坏型木马，我们用网络防火墙来监视不是等于没用了吗！但是国内的风云防火墙文件监视能力也不......

怎么查看一个软件有没有后门

这个估计一般不懂语言的人，是看不到的，这个比较专业了，

怎么查看一个软件是否有后门？

教你一招！你可以用360安全卫士里的网络连接状态察看这个疑似后门的软件是否打开了不明IP地址，把这个IP地址记录下来，然后用瑞星卡卡的IP查询工具查询，如果确有问题，那恭把这个软件删除！

如何查看自己的电脑有没有后门

后门，是程序形成的，只要杀软确认系统里无毒，基本上就没啥后门了，后门就是个木马，就是个软件而已，不要自己吓自己说谁连接到你的IP了。。。

那有查看有后门的软件啊比如查看灰鸽子有没有后门怎么查看

给你一个简单的方法不用第三方软件 点“开始”——“运行”——cmd （再键入netstat -ano）查看相应的后门软件的端口号，比如灰鸽子=8080，8102=网络神偷（还要看对应IP） 8000端口一般是QQ用的，如没开QQ有这个端口哪么对应进程（就是后门程序）和IP就是对应控制端 当然只是哪个IP只是对方和你电脑最近端IP，因为很多用后门软件的都会用代理！ 呵呵，希望能帮到你·

如何判断一个软件有无后门

先去虚拟机里 打开软件啊 一般捆绑的软件会出问题啊 然后看下进程。有没有远控的进程。在杀毒啊 杀出来的毒百度搜下下看看是什么病毒啊

如何查看自己的系统有没有后门

利用杀毒软件，扫描利用防火墙，在防火墙看开启的端口及对应的进程，一般不是系统默认开启的端口都是可疑的，要找一下对应的进程，找到对应进程，对相应进程进行抓包，看他通信的数据，分析是不是后门

如何查一个软件有没有后门或者把这个软件的运行记录下

首先用杀毒软件查查有没有病毒，其次要装防火墙，在确认没有病毒的情况下打开这个程序，看防火墙有没有提示这个程序要连接互联网（在没有需要的情况下）。不过即使连接互联网也算是正常的，因为很多软件都要在线升级。关键要自己把握，一个软件到底是有后门还是没有后面，都说不准，多上网搜索相关的帖子，查查看这个软件的评价到底怎样。

如何查看自己的电脑有没有后门

经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制，因查看的是整个网络盘的大小，其实"私人盘"上容量已用完了。

软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。键盘或鼠标无端地锁死：病毒作怪，特别要留意"木马"；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法 *** 作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

系统自动执行 *** 作：病毒在后台执行非法 *** 作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

可能用阿D之类的网站扫描软件测试下，

对常见的漏洞检查下，对SESSION的用法检查下。对登录代码检查下。

把数据库名改了，把一些重要函数名称改了，把用户表名改了管理员表名改了。

首先我们要认识一下什么是后门程序? 在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径!!——很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山!正因如此所以后门技术与反后门的检测技术也成为了黑客功防战的焦点。正所谓知己知彼，百战不殆。要了解反后门技术那么我们就要更多的深入去学习与了解后门知识。后门的分类后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：前面讲了这么多理论知识是不是觉得有点头大了呢?下面我们来讲讲一些常见的后门工具吧1.网页后门此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式，比如ASP、PHP、cgi脚本后门等。典型后门程序：海洋顶端，红粉佳人个人版，后来衍生出来很多版本的这类网页后门，编写语言asp,aspx,jsp,php的都有种类比较繁多。2.线程插入后门利用系统自身的某个服务或者线程，将后门程序插入到其中，这种后门在运行时没有进程,所有网络 *** 作均播入到其他应用程序的进程中完成。典型后门程序：代表BITS，还有我在安全焦点上看到的xdoor(首款进程插入后门)也属于进程插入类后门。3.扩展后门所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。典型后门程序：Wineggdroup shell4.C/S后门这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光.典型后门程序：ICMP Door5.root kit好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。典型后门程序：hacker defender以上是我在网上搜集的前人总结，值得指出的是这些分类还不够完善，还没有真正指出后门的强大。下面我继续补充点我更新黑基技术文章时看到的一些比较少见的后门技术。6 BootRoot通过在Windows内核启动过程中额外插入第三方代码的技术项目，即为“BootRoot”。国外组织eBye在通过这种新的Rootkit启动技术，并赋予这种无需依赖Windows内核启动过称去加载自身代码的技术及其衍生品——“BootKit”，即“Boot Rootkit”。Mebroot是如何实现MBR感染与运作的Mebroot比Windows还要早一步启动，然后将自身驱动代码插入内核执行，从而绕过了注册表HIVE检测的缺陷。同时采用的底层技术让大部分Anti-Rootkit工具失明——因为它根本没有在系统内留下任何启动项目。检测工具自然会检测失效。然后通过DLL远程注入用户进程，为系统打开后门并下载木马运行。在这非传统的渗透思路下，反Rootkit工具是无法根除它的。看到以上这么多可怕的后门知识是不是对这些有所了解了呢?下面我们来谈谈如何检测后门1.简单手工检测法凡是后门必然需要隐蔽的藏身之所，要找到这些程序那就需要仔细查找系统中每个可能存在的可疑之处，如自启动项，据不完全统计，自启动项目有近80多种。用AutoRuns检查系统启动项。观察可疑启动服务，可疑启动程序路径，如一些常见系统路径一般在system32下，如果执行路径种在非系统的system32目录下发现notepadSystemsmss.execsrss.exewinlogon.exeservices.exelsass.exespoolsv.exe这类进程出现2个那你的电脑很可能已经中毒了。如果是网页后门程序一般是检查最近被修改过的文件，当然目前一些高级webshell后门已经支持更改自身创建修改时间来迷惑管理员了。2.拥有反向连接的后门检测这类后门一般会监听某个指定断口，要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口，看是否有本地ip连接外网ip。3.无连接的系统后门如shift，放大镜，屏保后门，这类后门一般都是修改了系统文件，所以检测这类后门的方法就是对照他们的MD5值 如sethc.exe(shift后门)正常用加密工具检测的数值是MD5 : f09365c4d87098a209bd10d92e7a2bed如果数值不等于这个就说明被篡改过了。4.CA后门CA克隆帐号这样的后门建立以$为后缀的超级管理员在dos下无法查看该用户，用户组管理也不显示该用户，手工检查一般是在sam里删除该帐号键值。当然要小心，没有经验的建议还是用工具。当然CA有可能克隆的的是guest用户，所以建议服务器最好把guest设置一个复杂密码。5.对于ICMP这种后门这种后门比较罕见，如果真要预防只有在默认windows防火墙中设置只 允许ICMP传入的回显请求了。6.对于rootkit这类后门隐藏比较深，从一篇安全焦点的文献我们可以了解到他的历史也非常长，1989年发现首例在Unix上可以过滤自己进程被ps -aux 命令的查看的rootkit雏形。此后这类高级隐藏工具不断发展完整，并在94年成功运用到了高级后门上并开始流行，一直保持着后门的领先地位，包括最新出现的Boot Root也是该后门的一个高级变种。为了抵御这类高级后门国外也相续出现了这类查杀工具。例如：荷兰的反Root Kit的工具Gmer,Rootkit Unhooker和RKU都可以检测并清除这些包括变种的RootKit.

---